구글 클라우드 “오라클 피플소프트 제로데이 악용 공격 발생”
구글 클라우드 보안 조직인 맨디언트와 구글 위협 인텔리전스 그룹(GTIG)은 UNC6240이 오라클 피플소프트(Oracle PeopleSoft) 애플리케이션 인프라를 겨냥한 침해·갈취 공격을 벌였다고 12일 밝혔다. UNC6240은 샤이니헌터스(ShinyHunters)로 알려진 공격 그룹이다.
GTIG는 공격자가 오라클 피플소프트 피플툴즈(Oracle PeopleSoft PeopleTools)의 취약점 ‘CVE-2026-35273’을 악용한 것으로 분석했다. 이 취약점은 환경 관리(Environment Management) 구성요소에 있는 원격 코드 실행 취약점이다. 원격 코드 실행은 공격자가 외부에서 취약한 서버에 명령을 실행할 수 있는 공격 방식을 말한다.
오라클은 지난 10일 해당 취약점에 대한 보안 경고를 공개했다. GTIG는 공격 활동을 지난달 27일부터 이달 9일까지 관측했다. 오라클의 보안 경고가 나오기 전에 취약점 악용이 이뤄졌기 때문에 제로데이 취약점으로 봤다. 제로데이는 보안 패치가 나오기 전에 공격자가 먼저 악용한 취약점을 말한다.
GTIG는 공격자의 스캔과 악용 활동을 확인한 뒤 취약한 엔드포인트와 연관된 전 세계 100여개 기관에 통지했다. 이들 기관 대부분은 미국에 있었다. 이 가운데 68%는 대학과 전문대학을 포함한 고등교육 기관이었다. 영향은 미국에 집중됐지만 아시아태평양, 유럽·중동·아프리카, 미주 지역에서도 노출 가능성이 확인됐다.
공격자는 오라클 피플소프트의 환경 관리 허브(PSEMHUB) 엔드포인트를 겨냥했다. GTIG는 공격자가 공개된 스테이징 서버에 맞춤형 메시센트럴(MeshCentral) 에이전트를 올려뒀다고 설명했다. 메시센트럴은 원격 관리 도구다. 공격자는 이를 정상 클라우드 서비스처럼 보이도록 위장해 명령 실행과 내부 이동에 활용했다.
GTIG는 공격자 인프라에서 윈도용 에이전트와 명령 기록을 확인했다. 일부 에이전트는 마이크로소프트 애저 서비스처럼 보이는 이름을 사용했다. 명령 기록에는 피플소프트 설정 파일과 웹로직(WebLogic) 설정을 확인한 흔적이 담겼다. 공격자는 내부 시스템 정보를 파악한 뒤 탈취 자료를 압축하고 샤이니헌터스 유출 사이트와 연결한 정황도 발견됐다.
공격자는 내부 이동을 위해 피해 기관별 스크립트도 사용했다. 이 스크립트는 내부 호스트를 찾아 보편적으로 쓰이는 관리자 계정과 비밀번호 조합을 시도하는 방식으로 동작했다. 이후 웹로직과 프로세스 스케줄러 디렉터리에 갈취 안내 파일을 남겼다.
GTIG는 오라클 피플소프트를 운영하는 기관에 환경 관리 허브 서비스를 비활성화하라고 권고했다. 비활성화가 어렵다면 외부에서 ‘/PSEMHUB/*’와 ‘/PSIGW/HttpListeningConnector’ 경로에 접근하지 못하도록 방화벽이나 네트워크 경계에서 차단해야 한다고 설명했다.
또 피플소프트 인터넷 아키텍처(PIA) 웹로직 접근 로그에서 외부 출발지의 ‘POST /PSEMHUB/hub’와 ‘POST /PSIGW/HttpListeningConnector’ 요청을 확인해야 한다고 밝혔다. 웹 계층 파일시스템에서는 제품에 포함되지 않은 JSP 파일, 비정상 디렉터리, 최근 생성되거나 수정된 XML 파일을 점검할 것을 권고했다.
오라클도 CVE-2026-35273이 인증 없이 원격에서 악용될 수 있다고 밝혔다. 영향을 받는 제품은 피플소프트 엔터프라이즈 피플툴즈 8.61과 8.62 버전이다. 오라클은 고객에게 지원 중인 버전을 유지하고 보안 업데이트와 완화 조치를 지체 없이 적용하라고 권고했다.
글. 바이라인네트워크
<곽중희 기자>god8889@byline.network



